Die DSGVO hat eindeutige Reaktionszeiten definiert, für den Fall, dass einem Unternehmen kritische Daten abhanden kommen. Innerhalb von 72 Stunden muss sich ein kompromittiertes Unternehmen erklären – die Erklärungsnot ist vorprogrammiert. Netzpalaver sprach mit Thomas Ehrlich, Country-Manager DACH von Varonis, worauf man beim Einsatz von Monitoring-Lösungen aus DSGVO-Sicht achten soll.
Netzpalaver: Wie ist das Logging von Mitarbeiter-Aktivitäten aus DSGVO-Sicht zu bewerten?
Thomas Ehrlich: Um Sicherheit – eines der großen Ziele der DSGVO – zu gewährleisten, müssen personenbezogene Daten generiert, gespeichert und ausgewertet werden. Gerade in Deutschland wird das (vielleicht auch zu Recht) kritisch gesehen, aber es geht leider nicht anders. Wenn man innerhalb von 72 Stunden nach Entdeckung eines Breaches erklären muss, welche Daten wie und warum abhandengekommen sind, wird man kaum umhinkommen, herauszufinden, in welcher Abteilung bzw. mit welcher User-ID diese Daten vermutlich gestohlen wurden.
Die Rechtsgrundlage für das Logging ist das in der DSGVO verankerte berechtigte Interesse des Unternehmens, wobei klar ist, dass hier immer unterschiedliche Interessen aufeinanderprallen. Entsprechend sorgfältig müssen diese gegeneinander abgewogen werden.
Netzpalaver: Wie kann diese Interessenabwägung aussehen, sodass einerseits die Sicherheit gewährleistet wird, andererseits aber nicht die Rechte der Mitarbeiter (über das vertretbare Maß hinaus) beeinträchtigt werden?
Thomas Ehrlich: Grundsätzlich sollte das Logging anonymisiert bzw. pseudonymisiert durchgeführt werden. Erst im Fall einer Anomalie wird dann re-personalisiert. Das heißt im Normalbetrieb sagt mir das Logging überhaupt nichts über das Arbeitsverhalten der Mitarbeiter. Erst dann, wenn Betriebsrat, Geschäftsführung oder externe legale Organe es anfordern, wird auf die von Varonis generierten Daten zugegriffen und diese auffälligen Aktivitäten den Nutzern zugeordnet – und auch dies nur für einen beschränkten, vorher definierten kleinen Kreis, zu dem etwa der Datenschutzbeauftragte gehört.
Netzpalaver: Sind die von Varonis generierten Verhaltensdaten überhaupt geeignet, eine Leistungsbewertung zu erstellen?
Thomas Ehrlich: Nicht mehr und nicht weniger als andere Daten auch. Nahezu flächendeckend wird in SAP-Anwendungen und anderen Datenbanken geloggt, sodass es am Unternehmen liegt, wie diese Daten ausgewertet werden. Letztlich geht es um eine Betriebsvereinbarung, in der ganz klar Zweck und Nutzen der Software definiert werden, und an die sich dann alle was die (Nicht-)Ausnutzung der Daten betrifft, zu halten haben. Varonis bewertet das Verhalten im Hinblick auf Datenschutzverstöße auch nur im Abuse-Fall, wobei das Aufdecken dieses Verhaltens ja die Aufgabe der Software ist und entsprechend auch legitimiert ist.
Netzpalaver: Mit welchen Maßnahmen können die Rechte der Mitarbeiter so weit wie möglich geschützt werden?
Thomas Ehrlich: Die Grundlage bildet die angesprochene Betriebsvereinbarung. Man muss alle Kräfte im Unternehmen – von der Personalabteilung über den Betriebsrat hin zur Geschäftsführung und Rechtsabteilung – einbeziehen und dann einen Prozess schriftlich festlegen, wie man mit den Daten umgeht, die gesammelt und vorgehalten werden. Auf diese Weise lassen sich Probleme vermeiden.
Wir sehen einen guten Kompromiss darin, sich auf die Daten, die auf Netzwerkspeichern und Netzwerklaufwerken gespeichert sind, zu beschränken. Zahlreiche Unternehmen erlauben ja den Einsatz von privaten Laptops und Smartphones. Wenn man diese mit Software versehen würde, um den Mitarbeiter zu beobachten, kann das durchaus grenzwertig sein. Ich glaube aber, dass jeder Mitarbeiter dafür Verständnis hat, dass Daten, die auf Servern und Netzwerkspeichern vorgehalten werden, ausschließlich firmenspezifische und firmenkundenspezifische Daten sind und entsprechend überwacht werden.
#Netzpalaver #Varonis
